# T1070.004 - File Deletion ## Técnica Pai Esta é uma sub-técnica de [[t1070-indicator-removal|T1070 - T1070 - Indicator Removal]]. ## Descrição File Deletion é uma subtécnica de [[t1070-indicator-removal|Indicator Removal]] (T1070) usada para destruir evidências da presença do adversário num sistema comprometido. Após um acesso bem-sucedido, ferramentas, scripts, payloads e arquivos temporários deixados pela intrusão podem revelar TTPs, infraestrutura de C2 e o escopo do comprometimento durante uma investigação forense. A remoção sistemática desses artefatos é um passo quase universal em operações avançadas. Em sistemas Windows, os adversários utilizam o comando nativo `del` via [[t1059-003-windows-command-shell|Windows Command Shell]] ou chamadas equivalentes via [[t1059-001-powershell|PowerShell]] (`Remove-Item`). Versões mais sofisticadas sobreescrevem o conteúdo antes de deletar - dificultando a recuperação por ferramentas forenses - usando utilitários como `cipher /w` (Windows) ou `shred` (Linux). Em sistemas Linux e macOS, `rm` e `unlink` são os comandos padrão. Em ambientes ESXi comprometidos, grupos de ransomware têm sido observados removendo scripts de implantação após a execução para dificultar a reconstrução do ataque. Ferramentas transferidas via [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] são frequentemente removidas logo após a execução inicial. O momento da deleção varia conforme a fase da operação: pode ocorrer durante a intrusão (remoção de stagers após execução do implante principal) ou numa fase de cleanup pós-exfiltração, onde o adversário limpa rastros antes de se retirar do ambiente - ou antes de acionar o payload de [[t1486-data-encrypted-for-impact|ransomware]]. Grupos de ransomware como [[g1040-play|Play]] e [[g1043-blackbyte|BlackByte]] costumam incluir rotinas de limpeza de artefatos no próprio payload. **Contexto Brasil/LATAM:** No Brasil, File Deletion é amplamente usada por grupos de ransomware e operadores de [[t1059-001-powershell|PowerShell]]-based malware que visam o setor [[_sectors|financeiro]] e de varejo. Grupos como [[g0082-apt38|APT38]], responsáveis por ataques ao sistema SWIFT de bancos brasileiros, usaram deleção agressiva de artefatos para dificultar atribuição. A falta de soluções de EDR com retenção de telemetria em muitas empresas médias brasileiras amplifica o impacto desta técnica - uma vez deletados, os artefatos raramente são recuperados. ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>T1566 Phishing] --> B[Execução<br/>T1105 Tool Transfer] B --> C[Ação Principal<br/>Exfil / Ransomware] C --> D[T1070.004<br/>File Deletion]:::highlight D --> E[Persistência<br/>Rastros apagados] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** Durante ou após o comprometimento, o adversário identifica os artefatos que precisam ser removidos: loaders iniciais, scripts de reconhecimento, ferramentas transferidas via [[t1105-ingress-tool-transfer|Ingress Tool Transfer]], arquivos de configuração de C2 e logs locais que registraram a atividade maliciosa. 2. **Execução:** Dependendo do sistema operacional, o adversário executa comandos nativos (`del /f /q`, `rm -rf`, `Remove-Item -Force`) ou funções de API de baixo nível para deletar arquivos de forma imperativa. Em operações mais cuidadosas, a sobreescrita prévia com `cipher /w` (Windows) ou `shred -u` (Linux) é empregada para inviabilizar recuperação forense. Grupos sofisticados também removem entradas do Prefetch, logs do Windows Event Log (`wevtutil cl`) e histórico de PowerShell (`Clear-History`). 3. **Pós-execução:** Após a limpeza, o adversário verifica se os arquivos alvo foram removidos. Em operações de ransomware, o script de cleanup pode ser o último processo a executar - removendo inclusive o próprio script de deleção ao final via técnicas de auto-remoção (`cmd /c del %0` no batch, por exemplo). ## Detecção **Fontes de dados:** - **Sysmon Event ID 23:** FileDelete - registra deleções de arquivo com hashes (requer Sysmon com ArchiveDirectory habilitado) - **Sysmon Event ID 26:** FileDeleteDetected - deleção detectada sem arquivo arquivado - **Windows Event Log Event ID 4663:** Auditoria de objetos (requer SACL configurada nos diretórios sensíveis) - **EDR behavioral rules:** Detecção de `del`, `rm`, `Remove-Item` executados imediatamente após criação de arquivo por processo suspeito - **Linux auditd:** Syscalls `unlink`, `unlinkat`, `rename` em diretórios sensíveis (`/tmp`, `/var/tmp`, diretórios de usuário) - **PowerShell ScriptBlock Logging (Event ID 4104):** Captura de `Remove-Item`, `Clear-History`, `[System.IO.File]::Delete` **Sigma Rule:** ```yaml title: Remoção Suspeita de Arquivos em Diretórios Temporários status: experimental description: Detecta deleção em massa ou imediata de arquivos em diretórios temporários após criação - padrão de cleanup pós-intrusão logsource: category: file_delete product: windows detection: selection: TargetFilename|contains: - '\AppData\Local\Temp\' - '\Windows\Temp\' - '\ProgramData\' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' filter_legit: Image|endswith: - '\msiexec.exe' - '\svchost.exe' condition: selection and not filter_legit falsepositives: - Instaladores legítimos que limpam arquivos temporários - Scripts de gestão de TI level: medium tags: - attack.defense_evasion - attack.t1070.004 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Telemetria de EDR com arquivamento | Configurar Sysmon com `ArchiveDirectory` habilitado para preservar cópia dos arquivos deletados. Essencial para forense em incidentes - prioridade alta para SOCs brasileiros com maturidade limitada. | | Imutabilidade de logs | Encaminhar logs para SIEM externo em tempo real (ex: Elastic, Splunk) de modo que a remoção local de Event Logs não destrua evidências. Usar `wevtutil` monitorado por alertas. | | Auditoria de objetos SACL | Configurar System Access Control Lists nos diretórios temporários e de staging para auditar deleções. Isso gera Event ID 4663 no Security log. | | Backups imutáveis | Manter backups offline ou com proteção WORM (Write Once Read Many). Grupos como [[g0082-apt38\|APT38]] e [[g1040-play\|Play]] frequentemente tentam deletar backups antes de criptografar dados. | | Monitoramento de auto-deleção | Alertar quando um processo deleta seu próprio executável (`Image == TargetFilename`) - padrão clássico de malware auto-removível. | ## Threat Actors - [[g0143-aquatic-panda|Aquatic Panda]] - APT chinês focado em espionagem industrial e tecnológica; usa deleção de artefatos após exfiltração para dificultar análise - [[g0051-fin10|FIN10]] - Grupo financeiro que operou extorsão contra empresas de cassino; removia ferramentas após estabelecer persistência - [[g0045-apt10|menuPass]] - APT10 / Cloud Hopper; apagava artefatos de acesso a MSPs para cobrir espionagem de longo prazo - [[g0060-bronze-butler|BRONZE BUTLER]] - APT jáponês (Tick); removeu ferramentas de spear-phishing após execução em alvos de manufatura - [[g0081-tropic-trooper|Tropic Trooper]] - APT asiático com histórico de limpeza pós-exfiltração em ambientes governamentais - [[g0139-teamtnt|TeamTNT]] - Grupo de cryptojacking que remove scripts de implantação após infectar containers Docker e Kubernetes - [[g0082-apt38|APT38]] - Braço financeiro do Lazarus Group; realizou deleção extensiva de artefatos após roubo ao sistema SWIFT - incluindo bancos brasileiros - [[g0053-fin5|FIN5]] - Grupo especializado em POS malware; removia ferramentas de exfiltração de dados de cartão após campanhas - [[g1040-play|Play]] - Ransomware com múltiplos incidentes no Brasil; deleta shadow copies, backups e artefatos de implantação antes da criptografia - [[g1043-blackbyte|BlackByte]] - Ransomware que inclui rotinas de limpeza de logs e artefatos no próprio payload ## Software Associado - [[s0164-tdtess|TDTESS]] (malware) - backdoor que deleta o dropper inicial após execução - [[s0395-lightneuron|LightNeuron]] (malware) - implante do Turla para servidores Exchange; remove arquivos de log para cobrir acesso a emails - [[s1150-roadsweep|ROADSWEEP]] (malware) - wiper iraniano que combina destruição de dados com deleção de artefatos operacionais - [[s0654-prolock|ProLock]] (malware) - ransomware que deleta shadow copies e ferramentas de acesso remoto antes da criptografia - [[s1212-ransomhub|RansomHub]] (malware) - ransomware-as-a-service com rotina de cleanup integrada; ativo no Brasil em 2024-2025 - [[s0354-denis|Denis]] (malware) - backdoor do APT32 (OceanLotus) com capacidade de auto-remoção - [[s0448-rising-sun|Rising Sun]] (malware) - implante do Lazarus Group; deleta arquivos de staging após exfiltração - [[s0593-eccentricbandwagon|ECCENTRICBANDWAGON]] (malware) - malware norte-coreano com deleção de artefatos pós-execução - [[s0370-samsam|SamSam]] (malware) - ransomware precursor do modelo de big game hunting; removia ferramentas de deploy após criptografia - [[s0390-sqlrat|SQLRat]] (malware) - RAT baseado em SQL Server que deleta stored procedures usadas como canal de C2 após uso --- *Fonte: [MITRE ATT&CK - T1070.004](https://attack.mitre.org/techniques/T1070/004)*